B1ohazarD 1 Опубликовано 23 января, 2010 Share Опубликовано 23 января, 2010 Вообщем дело такое... Оставил на ночь обновление Lineage, с офф сервера Утром проверял - всё было хорошо. Пришел из школы, компьютер оказывается перезагрузился. Ну я ввел пароль на администратора, он почти 10 секунд загружался ( обычно секунду, не больше ). И что я увидел? Рабочего стола не было!Открыл диспетчер, запустил explorer.exe, он открыл Проводник. В процессе иследования "Да что это такое блин" увидел, что Диск D почему то стал съемным, и не запускался двойным щелчком, писал ошибку "Не найдем файл md.exe". Вообщем, ужас. Я не знаю что делать. Может как то восстановить систему?Если да, то как это сделать без Пуска и Панели Управления? Логи прилагаю. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на сообщение Поделиться на другие сайты
snifer67 88 Опубликовано 23 января, 2010 Share Опубликовано 23 января, 2010 Пофиксить в HijackThis F2 - REG:system.ini: Shell=%SystemRoot%\system32\user32.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, ПК перезагрузите. Выполните скрипт в avz begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('%SystemRoot%\system32\user32.exe',''); DeleteFile('%SystemRoot%\system32\user32.exe'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('D:\autorun.inf'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com,в письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Сделайте новые логи. Ссылка на сообщение Поделиться на другие сайты
B1ohazarD 1 Опубликовано 23 января, 2010 Автор Share Опубликовано 23 января, 2010 Ответ от касперских пока еще не пришел. Все ошибки после выполнения скрипта вроде бы устранены. Спасибо вам Очень хорошо, что есть знающие люди, такие как вы. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Ссылка на сообщение Поделиться на другие сайты
snifer67 88 Опубликовано 23 января, 2010 Share Опубликовано 23 января, 2010 C:\WINDOWS\wt\updater\wcmdmgrl.exe проверьте на http://www.virustotal.com/ru/ Ссылка на сообщение Поделиться на другие сайты
B1ohazarD 1 Опубликовано 23 января, 2010 Автор Share Опубликовано 23 января, 2010 MD5: 448a26937b65e4a1a1a7d5194a66edd2 First received: 2007.01.22 20:24:21 UTC Дата: 2009.08.10 21:04:50 UTC [>165D] Результаты: 1/41 Permalink: analisis/b4e37ce1ef7efcee5086091d861dfb40772b2259bc0aef026134d0459d4d1cf8-1249938290 Ссылка на сообщение Поделиться на другие сайты
snifer67 88 Опубликовано 23 января, 2010 Share Опубликовано 23 января, 2010 Чисто Установите IE8 1 Ссылка на сообщение Поделиться на другие сайты
B1ohazarD 1 Опубликовано 23 января, 2010 Автор Share Опубликовано 23 января, 2010 (изменено) Еще раз спасибо. А можно узнать, что это было? Изменено 23 января, 2010 пользователем B1ohazarD Ссылка на сообщение Поделиться на другие сайты
snifer67 88 Опубликовано 23 января, 2010 Share Опубликовано 23 января, 2010 А можно узнать, что это было? c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot c:\windows\system32\user32.exe - Trojan-Ransom.Win32.SMSer Предположительно... Ссылка на сообщение Поделиться на другие сайты
B1ohazarD 1 Опубликовано 23 января, 2010 Автор Share Опубликовано 23 января, 2010 c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbotc:\windows\system32\user32.exe - Trojan-Ransom.Win32.SMSer Предположительно... Странно...И ни один не обнаружен...Ни одним антивирусом... Ссылка на сообщение Поделиться на другие сайты
vit9696 269 Опубликовано 23 января, 2010 Share Опубликовано 23 января, 2010 Да, ничего странного, все пропускают понемногу... Ссылка на сообщение Поделиться на другие сайты
B1ohazarD 1 Опубликовано 23 января, 2010 Автор Share Опубликовано 23 января, 2010 Всё. Обновил с microsoft сайта. Ссылка на сообщение Поделиться на другие сайты
vit9696 269 Опубликовано 23 января, 2010 Share Опубликовано 23 января, 2010 Всё. Обновил с microsoft сайта. Для добавки поставьте все обновления www.update.microsoft.com Ссылка на сообщение Поделиться на другие сайты
B1ohazarD 1 Опубликовано 23 января, 2010 Автор Share Опубликовано 23 января, 2010 (изменено) Пришел ответ от Касперских. "Вредоносный код в файле не обнаружен". Еще раз всем спасибо, тему можно closed. Изменено 23 января, 2010 пользователем B1ohazarD Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти